Come si inseriscono i dati biometrici nel GDPR?

Dati biometrici GDPR
Categorie:

Si è acceso un nuovo dibattito sulla biometria

Biometria e La privacy sono stati a lungo oggetto di discussione, anche prima che la GDPR è entrato in vigore.

Nel 1997, un professore di legge statunitense di nome John D. Woodward scrisse un documento innovativo, pubblicato negli IEEE Proceedings, intitolato Biometrics, Friend of the La privacy o nemico del La privacy?

Woodward ha sostenuto che la biometria è un amico della La privacy potrebbe essere perché forniva un mezzo per stabilire l'identità che dipendeva dalle proprietà uniche di un singolo carico di un comparatore esterno come una password. L'utente non può dimenticare il proprio volto, l'impronta digitale o la retina e lasciarli a casa, ma può dimenticare una password o lasciare un badge di accesso sul comò.

Una password può essere indovinata o ottenuta tramite spoofing, un badge può essere rubato, ma duplicare un'impronta digitale o una retina è una sfida. L'argomentazione è in qualche modo valida anche oggi, sebbene Woodward non avesse a che fare con i problemi di sicurezza che esistono oggi nella protezione dei dati biometrici e non avesse a che fare con l'intelligenza artificiale, che in alcune circostanze può effettuare identificazioni accurate sulla base di dati incompleti o circostanziali. Inoltre, i casi d'uso a cui aveva fatto riferimento nella sua argomentazione erano tutti casi d'uso di autenticazione, non di identificazione. Esamineremo le differenze. Infine, non c'è stato alcun GDPRin modo che le questioni relative al GDPR sui dati biometrici non influenzassero il suo pensiero.

 

 

Identificazione e autenticazione con la biometria

 

Woodward ha definito due casi d'uso per i dati biometrici: identificazione e autenticazione. Per l'identificazione, l'identità di un soggetto non è stata stabilita. Il sistema acquisisce i dati dell'immagine ed estrae le caratteristiche rilevanti per la persona da valutare. Il sistema confronta quindi i dati delle caratteristiche con informazioni note e cerca di stabilire un collegamento con un certo grado di certezza statistica.

L'intera attività può essere svolta segretamente e senza il consenso dell'utente. Poiché il volto umano è solitamente esposto e nella sua interezza è unico, il riconoscimento facciale è l'approccio di identificazione più comunemente utilizzato. Con l'autenticazione, l'utente dà il suo consenso e fornisce volontariamente un campione di dati biometrici, come l'immagine di un'impronta digitale, la scansione della retina o simili, quindi il sistema utilizza queste informazioni per verificare l'identità dell'utente prima di concedergli l'accesso a una struttura o a informazioni potenzialmente altamente protette.

In sostanza, l'autenticazione risponde alla domanda "Sei chi dici di essere"? L'identificazione risponde alla domanda "Chi sei"?

 

 

Applicazioni per i dati biometrici

 

Le applicazioni di dati biometrici per l'autenticazione sono molto diffuse, soprattutto nei telefoni cellulari. In questi casi, l'utente presume che i dati siano memorizzati sul telefono cellulare e che non vengano duplicati altrove senza il suo consenso. In queste circostanze, l'utente controlla i dati. Nel caso in cui l'utente abbia accesso a un conto bancario online con dati biometrici, questi vengono memorizzati sui server della banca, che li controlla. Un utente di telefonia mobile può condividere i dati biometrici memorizzati con un provider di telefonia mobile per sbloccare i servizi online.

Autenticazione

Applicazione: Chi sei?
Consenso: Sì
Controllo dei dati: utente o fornitore o entrambi
Tecnologia: Scansione delle impronte digitali Scansione della retina

Identificazione

Applicazione: Sei chi dici di essere?
Consenso: No
Controllo dei dati: terzi
Tecnologia: Riconoscimento del volto

I casi d'uso dell'identificazione sono di competenza dei governi che si preoccupano della sicurezza. L'acquisizione di immagini/riconoscimento del volto viene utilizzata negli aeroporti internazionali di tutto il mondo per aiutare a riconoscere criminali noti o attivisti stranieri.

La premessa è che i tratti del viso dei comuni cittadini vengono scannerizzati, confrontati con i dati noti e poi eliminati se non c'è corrispondenza. Possono verificarsi problemi quando i dati dei cittadini non vengono eliminati, spesso con le migliori intenzioni, poiché quella persona potrebbe essere identificata come un criminale in un momento successivo e sapere dove è stata sarebbe molto prezioso.

Si tratta di un terreno scivoloso: l'archiviazione dei dati è a buon mercato, le videocamere digitali a prezzi modesti offrono prestazioni eccellenti e possono essere installate in modalità wireless praticamente ovunque. La tentazione per i professionisti della sicurezza di registrare tutto dal maggior numero di telecamere che possono permettersi è molto alta.

 

 

Se i dati biometrici sono inclusi nel GDPR cadere?

 

GDPR e i dati biometrici sono gestiti in base alla normativa e alle regole stabilite da ciascuna autorità di protezione dei dati (DPA). Il GDPR impedisce esplicitamente l'uso di dati biometrici per l'autenticazione o l'identificazione, ma ci sono diverse eccezioni menzionate nell'articolo 9(2). Per l'autenticazione, l'applicazione deve richiedere un elevato livello di affidabilità che non può essere raggiunto con altre tecnologie. I dati biometrici delle persone sono considerati sensibili Dati personali e quindi richiedono un livello di protezione più elevato.

Diversi Paesi hanno assunto posizioni specifiche sull'identificazione biometrica, ad esempio la CNIL francese ha recentemente pubblicato un documento di posizione in cui riconosce la necessità per un governo di rendere sicure le frontiere, ma si rifiuta di stabilire regole rigide, preferendo esaminare caso per caso.

  • Secondo queste norme, la necessità di tali dispositivi deve essere determinata caso per caso: Il riconoscimento facciale non può essere utilizzato senza un requisito specifico che garantisca un alto livello di affidabilità nella verifica dell'identità delle persone. Questi testi stabiliscono inoltre che devono essere garantite sia la proporzionalità dei mezzi utilizzati sia la protezione specifica dei minori. Richiedono che le persone siano al centro dei sistemi, ad esempio ottenendo il loro consenso o garantendo che abbiano il controllo dei loro dati. Applicando questi principi, recentemente riaffermati a livello europeo, la CNIL ha già avuto modo di autorizzare in linea di principio alcuni usi, pur regolamentandoli nella pratica (controllo delle frontiere negli aeroporti) e di rifiutarne altri (controllo dell'accesso degli alunni nelle scuole).

La CNIL ha inoltre messo in guardia le aziende dal promuovere applicazioni sperimentali o sperimentate con l'unico scopo di socializzare il pubblico a queste tecnologie e ottenere il loro tacito consenso, cosa che non sarà consentita dalla CNIL.

Il Garante italiano ha pubblicato nel suo sito web Linee guida per il 2014 ha adottato un approccio diverso, concentrandosi sul metodo di raccolta piuttosto che sull'uso e scegliendo di definire i sistemi di raccolta biometrica passivi e interattivi:

  • I sistemi biometrici sono definiti interattivi o partecipativi se prevedono il coinvolgimento della persona interessata e la obbligano a collaborare nella fase di raccolta dei dati biometrici, ad esempio durante la scansione della retina o l'apposizione della firma autografa. Al contrario, i sistemi passivi raccolgono i dati biometrici senza che l'interessato sia coinvolto nella fase di raccolta dei dati. colpiti persona li percepisce o li riconosce, ad esempio nel caso di registrazioni di immagini del volto o di registrazioni vocali che vengono registrate senza che la persona interessata ne sia consapevole.

Questo è rimasto sostanzialmente invariato dal 2014, anche se un decreto legislativo (solo italiano) prevedeva l'introduzione di nuove disposizioni ogni due anni (a partire dal 2018), che Linee guida in linea con l'uso delle nuove tecnologie.
La Germania non ha un'autorità centrale per la protezione dei dati. La responsabilità ricade sulle organizzazioni statali, che sono 16.

 

 

Risolvere il dibattito sulla biometria

 

Il dibattito sull'uso della biometria per l'identificazione o l'autenticazione in un mondo incentrato sulla privacy è in corso e lo è da oltre 20 anni. Riconoscere che il dibattito riguarda due casi d'uso distinti è molto probabile che porti a un certo accordo e a una certa comprensione. Il caso dell'identificazione garantisce quasi che le informazioni vengano raccolte senza il consenso esplicito dell'individuo. D'altra parte, ci sono molti casi d'uso per l'autenticazione che richiedono il consenso e la partecipazione attiva dell'individuo, che spesso beneficia di un accesso più affidabile e di una maggiore sicurezza. Se da un lato è chiaro che le forze dell'ordine a livello di Stati nazionali hanno urgente bisogno dell'identificazione biometrica, dall'altro il suo utilizzo da parte di altri soggetti può essere superfluo quando altri approcci meno invasivi possono essere accettabili.

Risorse:

  • Biometrics, privacy’s friend or privacy’s foe: semanticscholar.org/paper/Biometrics%3A-privacy’s-foe-or-privacy’s-friend-Woodward/45db09c52035fcee984525397b56d8b5c9b80b57
  • Documento di sintesi: cnil.fr/en/facial-recognition-debate-living-challenges
  • Linee guida 2014: garanteprivacy.it/documents/10160/0/GUIDELINES+ON+BIOMETRIC+ RECOGNITION.pdf/3ac0d4ff-7575-4f5e-a3fa-b894ab7cf517?version=1.1
Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi